近日,小米安全中心(MiSRC)在其官方网站发布公开致谢(https://sec.xiaomi.com/post/152),感谢必威BETWAY官网G505 Team对小米安全的帮助与支持。
该团队“向小米安全中心提交了1个产品漏洞并提供了完整详细报告,对提升小米安全产品性以及保护小米用户信息安全有很大帮助。”
在该项工作研究过程中,团队博士生宋文纳等同学在使用小米某主流产品时关注到相关功能和现象,后经团队反复分析研判和不断深入挖掘,最终发现并确认小米该主流产品存在一处高危漏洞,在该产品某项重要功能使用过程中可能导致传输信息泄漏,以及恶意数据及程序的非法植入等威胁,目前小米官方已确认的漏洞影响包括小米多个主流机型、国内所有版本,该产品在全球拥有数亿用户。
本着负责任的漏洞披露原则,团队向小米安全中心提交了该产品漏洞以及完整详细的漏洞测试报告,小米安全中心在收到报告后迅速对该漏洞进行了确认,并启动了漏洞修复流程。近日,小米安全中心协助G505团队针对该漏洞提交了CVE申请,漏洞编号为:CVE-2019-15843。
该项研究工作具体在彭国军教授和傅建明教授的共同指导下完成,团队成员宋文纳、林镇鹏和严寒同学承担了该漏洞的持续分析、漏洞利用程序编写和测试验证工作。
G505 Team由必威BETWAY官网彭国军教授和傅建明教授共同创建,一直致力于恶意代码和软件漏洞的分析与检测研究,是我国最早从事该领域研究的团队之一。